Netfilter Filter nicht

[janis]

Netfilter filtert nicht

Hallo,

ich habe netfilter über den iptables Befehl eingerichtet und einen Portscan drüber laufen lassen. Nun meldet mir mein Portscan aber, dass diverse Ports offen sind, die gar nicht offen sein sollen.
Hier mal das Ergebnis von iptabls -L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
input      all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
output     all  --  anywhere             anywhere

Chain input (1 references)
target     prot opt source               destination
ACCEPT     all  --  loopback/8           anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     udp  --  anywhere             anywhere            udp dpt:9987
ACCEPT     tcp  --  sh8-35.1blu.de       anywhere            tcp dpt:10011
ACCEPT     tcp  --  server187.star-server.info  anywhere            tcp dpt:10011
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:30033
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
DROP       all  --  anywhere             anywhere
REJECT     tcp  --  anywhere             anywhere            reject-with tcp-reset
REJECT     udp  --  anywhere             anywhere            reject-with icmp-port-unreachable

Chain output (1 references)
target     prot opt source               destination
ACCEPT     all  --  anywhere             loopback/8
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ntp
ACCEPT     all  --  anywhere             ftp.tu-clausthal.de
ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED
REJECT     tcp  --  anywhere             anywhere            reject-with tcp-reset
REJECT     udp  --  anywhere             anywhere            reject-with icmp-port-unreachable
(END)

Mein Portscan meldet folgende Ports als offen:

22 - SSH ist gewünscht
25
80
110

Das "DROP" in der "input" chain habe ich nachträglich hinzugefügt, um zu schauen, ob der Scanner eventuell auf ein Reject reagiert.

Verwendete Software:
http://www.heise.de/download/portscan.html
http://www.downloads.de/Telekommunikation/335/Admins-Port-Scan.html

Wobei folgende Webseite die Ports als geschlossen erkennt:
http://www.t1shopper.com/tools/port-scan/

Irgendjeman eine Idee, woran das liegen kann, oder warum mir eine Onlinedienst ein anderes Ergebnis liefert, als mein lokaler Rechner?

Gruß
Jan

PS: OS: Linux version 2.6.32-5-xen-amd64 (Debian 2.6.32-41) - Squeeze
Serverip zur Prüfung nur auf Anfrage

 

[Gast123]

Hast du deinen Rechner gescannt, oder deinen Router?

PS: Gib mal bitte ein iptables -S und die genauen Befehle, die du beim scannen ausgeführt hast.

 

[janis]

Nein, ich hab nen Rootserver gescannt.

IPTABLES -S

-P INPUT ACCEPT
-P FORWARD ACCEPT
-P OUTPUT ACCEPT
-N input
-N output
-A INPUT -j input
-A OUTPUT -j output
-A input -s 127.0.0.0/8 -i lo -j ACCEPT
-A input -p tcp -m tcp --dport 22 -j ACCEPT
-A input -p udp -m udp --dport 9987 -j ACCEPT
-A input -s 88.84.137.173/32 -p tcp -m tcp --dport 10011 -j ACCEPT
-A input -s 89.149.244.64/32 -p tcp -m tcp --dport 10011 -j ACCEPT
-A input -p tcp -m tcp --dport 30033 -j ACCEPT
-A input -m state --state RELATED,ESTABLISHED -j ACCEPT
-A input -j DROP
-A input -p tcp -j REJECT --reject-with tcp-reset
-A input -p udp -j REJECT --reject-with icmp-port-unreachable
-A output -d 127.0.0.0/8 -o lo -j ACCEPT
-A output -p tcp -m tcp --dport 80 -j ACCEPT
-A output -p tcp -m tcp --dport 22 -j ACCEPT
-A output -p udp -m udp --dport 53 -j ACCEPT
-A output -p tcp -m tcp --dport 53 -j ACCEPT
-A output -p tcp -m tcp --dport 123 -j ACCEPT
-A output -d 139.174.2.36/32 -j ACCEPT
-A output -m state --state RELATED,ESTABLISHED -j ACCEPT
-A output -p tcp -j REJECT --reject-with tcp-reset
-A output -p udp -j REJECT --reject-with icmp-port-unreachable

Ich weiß nicht genau, wie diese beiden geposteten Programme funktionieren. Ich hab die nur alle Ports checken lassen.

 

[Gast123]

Hängt der server eventuell hinter einer NAT von deinem Anbieter?
Stellt dieser womöglich darüber Dienste außerhalb deines Servers für Managementsoftware bereit?

 

[janis]

Habe kein Zugriff auf eine Managementsoftware und die IP ist laut ifconfig meine Online-IP.
Was mich wundert ist, dass der Server jetzt nicht mehr auf PINGs antwortet, aber laut Portscan immernoch Ports offen sein sollen.

Was mir grad aufgefallen ist, is dass der Server direkt hinter einer Gateway sitzt.
Das ist ein vServer und in den Routingtables ist der Hostserver als Router angegeben.
Bei einem Traceroute zu meinem Server hin, gehe ich auch immer über diese Gateway.
Kann die die Ergebnisse des Portscans verfälschen?
Weil theoretisch müssten alle Ports auf meinen Server weitergeleitet werden.

Gruß
Jan

 

[Gast123]

Ja, ich denke, dass das der Fall ist.
Mein Homerserver z.B. sitzt auch hinter der NAT meiner FritzBox.
Da könnte ich theoretisch mehr Ports öffnen, als auf der Firewall meines Homeservers im Heimnetz (tatsächlich ist es anders herum).
Die würden dann von außen als offen angezeigt werden, obgleich der Server selbst die geschlossen hat.

 

[janis]

OK, Danke.

Hab grad mal nen Portscan über die Gateway laufen lassen. Und dort sind exact die Ports offen, die bei mir geschlossen sein sollten, aber trotzdem als offen angezeigt werden.

Sollte sich somit erledigt haben

Edit:// Kann ich das Thema irgendwie als Solved markieren?